No tak, jest gorzej niż myślałam: trzy Rootkity + VUNDO.
Większość usunął ComboFix.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\trusted.exe
C:\xlryki.exe
C:\pjxxrskl.exe
C:\wsusupd.exe
C:\bnld.exe
C:\WINDOWS\system32\byxutrs.dll
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hidr.exe
Folder::
C:\WINDOWS\exefnd
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3320321D-7730-4EF8-A735-D30AA711624B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C24D5F51-51A8-4CB6-A199-A5A6CB20C915}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutrs]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyy]
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Rootkit Bagle-hidires uszkodził Tryb Awaryjny.
Potem daj nowy log z ComboFixa i napisz o sytuacji.
EDIT:
Ponieważ pisałeś, że masz także uszkodzone “Przywracanie Systemu”, więc na wszelki wypadek daj także log z Sillent Runner.
Tam, w kluczach z grupy “Policies”, będzie widać, czy rzeczywiście trzeba to zmienić.
Ja akurat na tym się nie znam , ale myślę, że znajdzie się tu ktoś, kto będzie wiedział, co w tych kluczach rejestru zmienić, by “przywracanie systemu” odzyskało swoją zwykłą funkcjonalność. Jeśli dobrze pamiętam, to trzeba w kluczu zmienić wartość Dword = 000001 na wartość Dword =000000…
jessi